Privacy Shield : les DPO français appellent la CNIL à formuler des recommandations pratiques
L’Association française des correspondants à la protection des données fait un bon accueil à la décision de la CJUE. Mais elle attend des autorités des recommandations claires pour ne pas laisser les entreprises dans un « dilemme » cornélien.
« Les responsables de traitement européens sont face à un dilemme ». C’est par ces mots que l’Association française des correspondants à la protection des données (AFCDP) résume la situation après la fin du Privacy Shield.
L’AFCDP regroupe les Délégués à la protection des données (DPD/DPO) et les professionnels de la protection des données.
Dépendance aux GAFAM
Pour elle, un choix cornélien se pose à ses membres : soit ils maintiennent les traitements qui comportent des transferts vers les États-Unis - mais alors l’entreprise plonge dans une forme d’incertitude juridique et court le risque de sanctions éventuelles ; soit ils renoncent à tout traitement de ce type. Cette deuxième option, qui sur le papier serait la plus sûre, n’est pas réaliste dans les faits.
Elle impliquerait en effet de revoir intégralement les architectures et les solutions IT, souligne l’AFCDP qui ajoute que cela reviendrait à « exclure d’innombrables solutions parmi les plus innovantes, à commencer par celles de grands acteurs du Web, ce qui peut impliquer des coûts de structure significatifs et ne peut s’envisager que sur plusieurs années ».
En creux, l’AFCDP entérine au passage une dépendance profonde des entreprises françaises aux GAFAM. Une dépendance qui pose des questions aussi bien vis-à-vis du droit américain que, aujourd’hui, du droit européen. Le tout dans un contexte de concurrence mondiale accrue et de problématiques naissantes de souveraineté numérique.
« Ce que nous voyons ressemble étrangement à une guerre économique autour de la protection de la vie privée », constatait d’ailleurs Me Jonathan Kewley du cabinet britannique Clifford Chance.
Situation ambigüe entre la Commission et les Etats-Unis… et avec la CJUE
Malgré le constat, l’AFCDP dit en revanche ne pas être surprise de la décision de la CJUE d’envoyer le Privacy Shield par le fond.
Association française des correspondants à la protection des données
L’association avait invité, dès le mois de mars, Max Schrems – l’avocat et activiste à l’origine de la procédure contre Facebook qui a abouti à cette décision - et Bruno Gencarelli de la Commission européenne lors d’une conférence intitulée « Les instruments de protection des flux transfrontières en question ».
« Max Schrems y avait expliqué que le « Privacy Shield » n’était qu’une version enjolivée du « Safe harbor » », raconte l’AFCDP qui considère que « cette décision est positive car elle va faire progresser les droits des Européens ».
Ce bon accueil de la décision de la CJUE ne l’empêche pas de s’inquiéter de la situation « ambigüe » entre la Commission européenne et les États-Unis. Car de la relation entre la Commission et l’administration américaine dépendra le possible recours – ou non - au clauses contractuelles types (CCT) comme mesures à mettre en place pour gérer l’après Privacy Shield.
AFCDP
L’association a déjà une idée sur la question. « On peut s’interroger sur la faculté de l’importateur aux États-Unis de garantir une protection compatible avec celle du RGPD au regard des pouvoirs des autorités américaines du renseignement résultant notamment du Foreign Intelligence Security Act, du CLOUD Act et de l’Executive Order 1233. Cette question clé n’est pas tranchée aujourd’hui et est renvoyée à l’appréciation des entreprises exportatrices et importatrices de données. »
Reste un autre problème. La Cour de Justice de l’Union Européenne (CJUE) et la Commission – dont la vice-présidente tchèque Vera Jourova a été sévèrement taclée par Max Schrems dans un Tweet, le jour même de la fin du Privacy Shield (lire ci-dessous) – ne sont pas sur la même longueur d’onde.
It seems that @VeraJourova is simply ignoring the #CJEU a second time here. The Judgement is clear that you can't just use the SCCs again and there is no "toolbox" to be used when a US company falls under #FISA and alike... #ReadTheJudgement #PrivacyShield https://t.co/wDTvy17TFW
— Max Schrems (@maxschrems) July 16, 2020
« Alors que les décisions d’adéquation permettent de constater que des pays tiers (Argentine, Israël, Japon, Nouvelle-Zélande, Suisse, etc.) offrent un niveau de protection des données équivalant à celui du RGPD, les États-Unis qui ne sont pas considérés comme un pays « adéquat » pourraient bénéficier de mécanismes spécifiques [mais] successivement invalidés par la Justice », entrevoit déjà l’AFCDP.
Dit autrement, la CJUE pourrait à nouveau invalider des accords politiques et des évaluations de la Commission, et mettre les entreprises en porte à faux.
Impossible pour les entreprises d’évaluer le droit des pays importateurs
Autre point soulevé par l’association des DPO : « l’outil des CCT semble d’une manipulation délicate, car s’il encadre les pratiques des fournisseurs, il ne préjuge pas de celles des États ».
AFCD
Dernier sujet de préoccupation majeure, l’AFCDP trouve qu’il est disproportionné de confier aux entreprises l’analyse du régime juridique du pays importateur. Un point qu’avait déjà soulevé Me Renzo Marchini du cabinet Fieldfisher. « Comment les sociétés européennes – notamment les plus petites – sont-elles censées s’y prendre ? », questionne-t-il. « Il est urgent que les régulateurs nous fournissent des lignes directrices claires. Aucune entreprise, à l’exception des plus grandes, ne peut faire ce type d’évaluation », concluait-il.
L’AFCD fait le même constat… et arrive à la même conclusion.
« Le régime juridique applicable aux services de renseignement du pays importateur est particulièrement complexe et opaque. À tel point qu’il a fallu de nombreuses auditions et rapports d’experts pour que les différentes institutions européennes se forgent une opinion dans le contexte de l’approbation du Privacy Shield, opinion qui n’a d’ailleurs pas toujours été concordante », souligne l’AFCDP. « Pour utiliser des CCT, il faudrait donc maîtriser les lois du renseignement de chacun de ces pays. La tâche paraît bien lourde. ».
Appel à « une recommandation commune et sans ambigüité » sur les mesures à prendre
Conclusion, tout comme Me Renzo Marchini, l’AFCDP appelle à une clarification rapide des bonnes pratiques. Max Schrems, qui est avocat en plus d’être activiste, a donné de son côté des pistes. Mais l’association des DPO appelle les pouvoirs publics à prendre leurs responsabilités.
« L’AFCDP souhaite que la CNIL - et ses homologues réunis au sein du Comité européen de la protection des données (CEPD/EDPB) - formulent rapidement une recommandation commune et sans ambigüité sur les mesures de protection à mettre en œuvre et les lignes directrices qui permettent aux organismes concernés [NDR : les entreprises] de poursuivre leurs activités qui impliquent des fournisseurs américains, dans des conditions de sécurité juridique optimales ».
Sans préjuger de la date de ses recommandation, la CNIL planche en tout cas activement sur le sujet.